本发明涉及信息安全领域,具体为一种在透明网桥上使用ipsecvpn的方法、系统及介质。
背景技术:
::1、ipsecvpn是一种ip层的安全协议,linux内核在2.6版本开始支持ipsecvpn功能,数据包在进入协议栈后,进行mac层处理,再进入ip层处理,数据包在经过路由模块选路后进入ipsecvpn模块。2、透明网桥brideg为linux内核实现的一种虚拟交换机设备,可以将多个物理网卡加入到网桥中,网桥内的数据包使用二层转发,同时可以在网桥上配置ip地址,把网桥当做一个三层设备处理。3、传统的方法当数据包到达网卡,内核接收数据包,再将数据包送往协议栈,如果该网卡属于网桥,则进入内核bridge处理,最后在bridge内转发。由于ipsecvpn处于协议栈的ip层,无法处理网桥内的数据包。技术实现思路1、(一)解决的技术问题2、针对现有技术的不足,本发明提供了一种在透明网桥上使用ipsecvpn的方法、系统及介质,解决了上述
背景技术:
:中提出的由于ipsecvpn处于协议栈的ip层,无法处理网桥内的数据包的问题。3、(二)技术方案4、为实现以上目的,本发明通过以下技术方案予以实现:一种在透明网桥上使用ipsecvpn的方法,包括:5、s1:在网桥接口上建立ipsecvpn连接;6、s2:在内核bridge firewall入口处,将数据包导向ip层;7、s3:ipsecvpn数据转发。8、优选地,步骤s1包括:新建一个网桥接口br0,将物理网卡eth0、eth1加入到br0中。9、优选地,在br0上配置ip地址,并指定eth0为接收原始数据端,eth1为发送加密数据端,然后建立ipsecvpn。10、优选地,所述步骤s2包括:11、添加一条规则将从eth0网口接收到的数据包导入ip层:12、ebtables-t broute-a brouting-i eth0-p ipv4-j redirect13、添加一条路由如下:14、ip route add dip via gateway dev br015、dip为数据包的目的地址16、gateway为下一跳地址。17、优选地,所述步骤s3包括:当从eth0口接收到数据包后,进入bridge处理,经过broute表的brouting链时,将数据包导入到ip层处理。18、优选地,经过路由后进入ipsecvpn模块,若匹配上兴趣流,则由ipsecvpn模块重新封装数据包,再从eth1口转发出去,若没有匹配上兴趣流,则由协议栈正常处理。19、优选地,所述判断系统调用函数体是否被修改,若是,则进行在线状态取证,包括:检测系统调用函数体的头五个字节是否包含跳转指令,如果有,则说明系统调用函数体被劫持,需进行在线状态取证。20、本发明另一目的在于,提供一种在透明网桥上使用ipsecvpn的系统,包括:存储器和处理器及存储在所述存储器上并可在所述处理器上运行的一种在透明网桥上使用ipsecvpn的程序,所述一种在透明网桥上使用ipsecvpn的程序配置为实现如前任一所述的一种在透明网桥上使用ipsecvpn的方法步骤。21、本发明的另一目的在于提供一种存储介质,所述存储介质上存储有在透明网桥上使用ipsecvpn的程序,所述在透明网桥上使用ipsecvpn的程序被处理器执行时实现如前任一所述的一种在透明网桥上使用ipsecvpn的系统步骤。22、有益效果23、本发明提供了一种在透明网桥上使用ipsecvpn的方法、系统及介质。具备以下有益效果:24、本发明在使用网桥建立ipsecvpn的连接后,可以对网桥内的数据包进行加密转发,大大增强了ipsecvpn的使用场景。技术特征:1.一种在透明网桥上使用ipsecvpn的方法,其特征在于,包括:2.根据权利要求1所述的一种在透明网桥上使用ipsecvpn的方法,其特征在于:步骤s1包括:新建一个网桥接口br0,将物理网卡eth0、eth1加入到br0中。3.根据权利要求2所述的一种在透明网桥上使用ipsecvpn的方法,其特征在于,在br0上配置ip地址,并指定eth0为接收原始数据端,eth1为发送加密数据端,然后建立ipsecvpn。4.根据权利要求1所述的一种在透明网桥上使用ipsecvpn的方法,其特征在于,所述步骤s2包括:5.根据权利要求1所述的一种在透明网桥上使用ipsecvpn的方法,其特征在于:所述步骤s3包括:当从eth0口接收到数据包后,进入bridge处理,经过broute表的brouting链时,将数据包导入到ip层处理。6.根据权利要求1或5所述的一种在透明网桥上使用ipsecvpn的方法,其特征在于,经过路由后进入ipsecvpn模块,若匹配上兴趣流,则由ipsecvpn模块重新封装数据包,再从eth1口转发出去,若没有匹配上兴趣流,则由协议栈正常处理。7.根据权利要求6所述的一种在透明网桥上使用ipsecvpn的方法,其特征在于:所述判断系统调用函数体是否被修改,若是,则进行在线状态取证,包括:检测系统调用函数体的头五个字节是否包含跳转指令,如果有,则说明系统调用函数体被劫持,需进行在线状态取证。8.一种在透明网桥上使用ipsecvpn的系统,包括:存储器和处理器及存储在所述存储器上并可在所述处理器上运行的一种在透明网桥上使用ipsecvpn的程序,所述一种在透明网桥上使用ipsecvpn的程序配置为实现如权利要求1-7任一所述的一种在透明网桥上使用ipsecvpn的方法步骤。9.一种存储介质,其特征在于,所述存储介质上存储有在透明网桥上使用ipsecvpn的程序,所述在透明网桥上使用ipsecvpn的程序被处理器执行时实现如权利要求1-7任一所述的一种在透明网桥上使用ipsecvpn的系统步骤。技术总结本发明提供一种在透明网桥上使用IPSecVPN的方法、系统及介质,涉及信息安全领域,包括在网桥接口上配置IP地址,使用该IP地址建立IPSecVPN连接,对于从透明网桥内的接口接收到的数据包,在进入bridge firewall后,使用ebtables命令在broute表的BROUTING链上注入一条规则,将数据包导向IP层,在数据包进入IP层后,就可以使用IPSecVPN模块处理数据包了。由于数据包进入IP层后,需要对数据包路由才能转发,所以需要在网桥接口上添加路由,保证数据包能在IP层正常转发。本发明使用网桥建立IPSecVPN的连接后,可以对网桥内的数据包进行加密转发,大大增强了IPSecVPN的使用场景。技术研发人员:王小东,杨小帅,陈浩受保护的技术使用者:北京天地和兴科技有限公司技术研发日:技术公布日:2024/1/15